管理と API の概要
適用対象:
- Microsoft Defender for Endpoint Plan 1
- Microsoft Defender for Endpoint
- Microsoft Defender XDR
- Microsoft Defender for Business (サポートされている機能の場合)
Defender for Endpoint では、お客様がプラットフォームを簡単に採用できるように、さまざまな展開、構成、レポートオプションがサポートされています。 お客様の環境と構造が異なる可能性があることを認識し、Defender for Endpoint は、さまざまな顧客の要件に合わせて柔軟性ときめ細かい制御を使用して作成されました。 Defender for Businessは、特に中小企業向けに設計された同様の機能を提供します。
エンドポイントオンボードとポータル アクセス
デバイスオンボードは、クライアント デバイスのMicrosoft IntuneとMicrosoft Configuration Managerに完全に統合されています。 サーバーの場合は、Defender for Endpoint Server、Defender for Servers (Defender for Cloud オファリングの一部)、Defender for Business サーバー (中小企業向け) など、いくつかのオプションから選択できます。
Microsoft Defender ポータルを使用すると、セキュリティ チームは、構成、デプロイ、監視のための堅牢でエンドツーエンドのエクスペリエンスを提供します。 さらに、Microsoft Defender for Endpointでは、デバイスの管理に使用されるグループ ポリシーやその他の Microosft 以外のツールがサポートされています。
Defender for Endpoint では、ロールベースのアクセス制御 (RBAC) の柔軟性を利用して、ポータルへのアクセス権を持つユーザーが表示および実行できる内容をきめ細かく制御できます。 RBAC モデルでは、セキュリティ チーム構造のすべての種類がサポートされています。
- グローバルに分散された組織とセキュリティ チーム
- 階層化されたモデルセキュリティ運用チーム
- 1 つの一元化されたグローバル セキュリティ運用チームを使用して、完全に分離された部門
使用可能な API
Defender for Endpoint は、統合対応プラットフォームの上に構築されています。
Defender for Endpoint は、一連のプログラム API を通じて、そのデータとアクションの多くを公開します。 これらの API を使用すると、Defender for Endpoint 機能に基づいてワークフローを自動化し、イノベーションを行うことができます。 Defender for Businessでサポートされている機能については、Defender for Businessを使用した Defender for Endpoint API を使用することもできます。
Defender for Endpoint API は、次の 3 つにグループ化できます。
- Microsoft Defender for Endpoint API
- 生データ ストリーミング API
- SIEM 統合
Microsoft Defender for Endpoint API
Defender for Endpoint は、構造化された明確で使いやすいモデルでデータと機能を公開する階層化された API モデルを提供します。これは、ユーザーまたは SaaS アプリケーションのコンテキストでアクセスを許可する標準の Azure AD ベースの認証および承認モデルを介して公開されます。 API モデルは、エンティティと機能を一貫した形式で公開するように設計されています。
Defender for Endpoint の API の概要については、このビデオをご覧ください。
調査 API では、Defender for Endpoint の豊富さを公開します。通常はエンティティに関連する動作を記述する計算済みエンティティまたは "プロファイル済み" エンティティ (デバイス、ユーザー、ファイルなど) と個別のイベント (プロセスの作成やファイルの作成など) を公開し、調査インターフェイスを介したデータへのアクセスを可能にし、クエリベースのデータへのアクセスを許可します。 詳細については、「 サポートされている API」を参照してください。
Response API では、サービスとデバイスでアクションを実行する機能が公開されており、ユーザーがインジケーターを取り込み、設定、アラートの状態を管理したり、デバイスをネットワークから分離したり、検疫ファイルなどの応答アクションをプログラムで実行したりできます。
生データ ストリーミング API
Defender for Endpoint 生データ ストリーミング API を使用すると、お客様は、1 つのデータ ストリーム内で発生したリアルタイムのイベントとアラートをインスタンスから出荷でき、待機時間が短く、スループットの高い配信メカニズムが提供されます。
Defender for Endpoint イベント情報は、長期的なデータ保持のために Azure Storage に直接プッシュされるか、視覚化サービスまたは追加のデータ処理エンジンによって使用するためにAzure Event Hubsされます。
詳細については、「 生データ ストリーミング API」を参照してください。
新しいMicrosoft Defender XDR ストリーミング API には、デバイス イベントに加えて、電子メール イベントとアラート イベントが含まれています。 詳細については、「Microsoft Defender XDR ストリーミング API」を参照してください。
SIEM API
セキュリティ情報とイベント管理 (SIEM) 統合を有効にすると、SIEM ソリューションを使用するか、検出 REST API に直接接続することで、Microsoft Defender XDRから検出をプルできます。 これにより、事前に設定された値を使用して SIEM コネクタアクセスの詳細セクションがアクティブになり、アプリケーションがMicrosoft Entra テナントの下に作成されます。
関連項目
- Microsoft Defender for Endpoint API にアクセスする
- サポートされている API
- テクニカル パートナーの機会
- 中小企業と連携する Microsoft パートナー向けのリソース
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティ (Microsoft Defender for Endpoint Tech Community) にご参加ください。